Artículos contribuidos

La teoría sobre las contraseñas se ha retrasado en la práctica, donde los proveedores grandes
usan back-end
Inteligencia para sobrevivir con tecnología imperfecta.

POR JOSEPH BONNEAU, CORMAC HERLEY,

PAUL C. VAN OORSCHOT, Y FRANK STAJANO

LAS CONTRASEÑAS HAN DOMINADO la autenticación de computadora por 50 años a pesar del
consenso entre

Investigadores que necesitamos algo más seguro y merecemos algo más fácil de usar. Gran parte
de la investigación publicada se ha centrado en aspectos específicos del problema que pueden
formalizarse fácilmente, pero en realidad no tienen una influencia importante en los objetivos
de diseño del mundo real, que nunca son autenticados, sino que protegen las cuentas de usuario
y los datos confidenciales. Como ejemplo de esta desconexión, la investigación académica a
menudo recomienda
Políticas estrictas de composición de contraseñas (como requisitos de longitud y dígitos
obligatorios y caracteres no alfabéticos) a pesar de la falta de pruebas que realmente reducen
el daño.

Argumentamos que la revisión crítica de la autenticación en su totalidad y el rol de las

contraseñas en el mismo se requieren para entender la situación actual y proporcionar una
mirada significativa hacia el futuro. Las contraseñas se implementaron originalmente en la
década de 1960 para acceder a computadoras mainframe de tiempo compartido, un entorno
que los usuarios de la web no reconocen. Muchas prácticas han sobrevivido con pocos cambios,
incluso si no son más apropiados. 9,19 Aunque en parte es atribuible a la inercia, esto también
representa una falla de la literatura académica para proporcionar enfoques que son
convincentemente mejores que las prácticas actuales.

Identificamos como obsoletos dos modelos que aún subyacen en gran parte de la
documentación de contraseñas actual. Primero está el modelo de un usuario aleatorio que
dibuja contraseñas de manera uniforme e independiente de un conjunto de posibles
contraseñas. Ha resultado en una sobreestimación de la seguridad frente a la adivinación y ha
fomentado políticas ineficaces destinadas a fortalecer las opciones de contraseña de los
usuarios. El segundo es el de un ataque fuera de línea contra el archivo de contraseña. Este
modelo ha inflado la importancia de la adivinación de contraseñas no limitadas en relación con
otras amenazas (como software malicioso del cliente, phishing, escuchas de canal y filtraciones
de texto sin formato del back-end) que son más difíciles de analizar pero significativamente más
importantes en la práctica. . Juntos, estos modelos han inspirado un torpe incómodo de consejos
contradictorios que es imposible de seguir para los humanos.

El enfoque de la investigación publicada sobre problemas limpios y bien definidos ha provocado

el abandono de las complicadas complicaciones de la autenticación de la Web en el mundo real.
Este enfoque fuera de lugar sigue obstaculizando la aplicabilidad de la investigación de
contraseñas a la práctica. Falta de reconocimiento

ideas clave

Models Los modelos simplistas de comportamiento de usuarios y atacantes han llevado a la

comunidad de investigación a enfatizar las amenazas equivocadas.
˽ La autenticación es un problema de clasificación susceptible de aprendizaje automático, con
muchas señales además de la contraseña disponible para grandes servicios web.

˽ Las contraseñas continuarán como una señal útil en el futuro inmediato, donde el objetivo no
es la seguridad inexpugnable, sino reducir el daño a un costo aceptable.

la amplia gama de desafíos de usabilidad, implementación y seguridad en la autenticación web

ha producido una larga lista de requisitos de contraseña incompatibles entre sí para los usuarios
e innumerables intentos de los investigadores por encontrar una solución mágica a pesar de
requisitos totalmente diferentes en diferentes aplicaciones. No es probable que una sola
tecnología "resuelva" la autenticación perfectamente para todos los casos; se requiere una
combinación sinérgica. La industria ya se ha movido en esta dirección. Muchos proveedores
líderes de los primeros sistemas operativos de tiempo compartido en la década de 1960, se
agregaron contraseñas para proteger contra chistes prácticos e investigadores que usan más
recursos de los autorizados

El Sistema de tiempo compartido compatible de 1961 en MIT fue probablemente el primero en

implementar contraseñas de esta manera. Los problemas de seguridad surgieron de inmediato.
Se informaron varios casos de usuarios que adivinaron las contraseñas de otros y también al
menos una filtración del archivo de contraseña maestra que se almacenó en forma no cifrada.
Sin embargo, estos problemas fueron fácilmente abordados administrativamente, ya que todos
los usuarios eran parte de la misma organización académica

Con el desarrollo del control de acceso en MULTICS y Unix en la década de 1970, las contraseñas
se adaptaron para proteger los datos confidenciales y los recursos computacionales. MULTICS
protegió las contraseñas almacenándolas en forma de hash, una práctica inventada por Roger
Needham y Mike Guy en la Universidad de Cam- bridge en los años sesenta. El tratamiento
seminal de la seguridad con contraseña de Robert Morris y Ken Thompson en 1979 describió la
evolución hacia la aplicación de claves y el cifrado de contraseñas dedicados a través de la
función crypt (), junto con el primer análisis de los ataques de diccionario y las adivinanzas de
fuerza bruta.

Una década más tarde, el gusano de Internet Morris de 1988 demostró la vulnerabilidad de
muchos sistemas a la adivinación de contraseñas. Los administradores se adaptaron mediante
el almacenamiento de hashes de contraseñas en archivos de contraseñas ocultas más
protegidos24 y, a veces, comprobando de forma proactiva las contraseñas de los usuarios para
su capacidad de adivinación.35

Con el advenimiento de la World Wide Web y el comercio electrónico a mediados de la década

de 1990, se hicieron intentos tempranos de reemplazar las contraseñas con criptografía de clave
pública mediante certificados de cliente de capa de sockets seguros (SSL) o el protocolo de
transacción electrónica segura (SET) de la competencia. En última instancia, la gestión de
certificados y las claves privadas del lado del cliente resultó ser demasiado onerosa y nunca se
desarrolló un mercado. En su lugar, las conexiones seguras en la Web dependen casi
universalmente de SSL autenticado de una sola vía. Los servidores se autentican mediante un
certificado en la capa SSL, mientras que a los usuarios se les permite probar su identidad más
adelante sin un protocolo explícito. Las contraseñas basadas en texto ingresadas en formularios
HTML a cambio de las cookies HTTP se han convertido en el protocolo dominante, aunque nunca
se especificó formalmente, de contraseñas comunes (a pesar del gran espacio teórico desde el
cual elegir las contraseñas de texto), los investigadores a menudo eligen una relativamente
pequeña. Distribución uniforme. El logaritmo del tamaño de esta distribución uniforme en este
modelo a menudo se denomina "entropía", en referencia a la famosa medida H1 de Claude
Shannon del promedio mínimo de bits necesarios para codificar los símbolos extraídos de una
distribución. Desafortunadamente, la entropía de Shannon modela el número de conjeturas que
necesita un atacante que puede verificar en tiempo constante si una contraseña desconocida es
miembro de un conjunto de posibilidades de tamaño arbitrario. Esto no corresponde a ningún
ataque de adivinación real.

Una métrica más directa es "conjetura", G, 25 el número esperado de consultas por un

adversario que adivina las contraseñas individuales de forma secuencial hasta que se
encuentran todas. Se puede demostrar que H1 proporciona un límite inferior en G.25. Sin
embargo, G también es problemático, ya que puede ser muy sesgado por palabras de paso raras
pero difíciles de adivinar.5 Para abordar este sesgo, "parcial" (o Se han desarrollado métricas de
adivinación “marginales”). 5,32 Una formulación es conjetura parcial (Gα), que modela a un
atacante haciendo solo conjeturas suficientes para tener una probabilidad α de éxito.5 Esto
encapsula la G tradicional. Cuando α = 1, con valores más bajos de α modelando atacantes más
realistas. Se ha demostrado que tales métricas no tienen límites inferiores en general por la
entropía de Shanon.5,32 Si bien las métricas de adivinación parcial proporcionan un modelo
matemático apropiado de dificultad para adivinar contraseñas, requieren una muestra muy
grande. Estimado con precisión, típicamente millones de contraseñas, 5 y por lo tanto han
encontrado un uso práctico limitado.

Las medidas heurísticas de la fuerza de la contraseña a menudo son necesarias para conjuntos
de datos más pequeños. Las Pautas de Autenticación Electrónica del NIST8 (en muchos aspectos,
están actualizadas en el Libro Verde) reconocieron la falta de lógica matemática de la entropía
de Shannon para adivinar, pero aun así introdujeron un método heurístico para estimar la
"entropía" (entropía del NIST) de las distribuciones de contraseñas bajo varias Políticas de
composición. Este modelo se ha utilizado desde entonces en muchos estudios académicos,
aunque se ha encontrado que produce estimaciones relativamente inexactas en la
práctica23,40. El enfoque empírico preferido, aunque dependiente, muchos usuarios no lo
notaron en absoluto.12 Un punto de datos empírico proviene de Yahoo!, donde agregar un
medidor de fuerza de contraseña mejoró la seguridad de la contraseña pero solo
marginalmente.5

Independencia en la elección de múltiples contraseñas. Un modelo de usuario aleatorio a

menudo asume que cada contraseña será elegida independientemente. En la práctica, esto rara
vez es cierto en la Web, ya que los usuarios manejan la gran cantidad de cuentas mediante la
reutilización de contraseñas, a veces con una ligera modificación; por ejemplo, un estudio de
telemetría de 2007 estimó que el usuario promedio tiene 25 cuentas protegidas con contraseña,
pero solo seis contraseñas únicas.14 Esto tiene implicaciones directas para la seguridad, ya que
las fugas en un sitio web pueden comprometer la seguridad en otro. Incluso si un usuario no ha
reutilizado exactamente la contraseña, los atacantes pueden adivinar pequeñas variaciones que
pueden duplicar sus posibilidades de éxito en un escenario de adivinación en línea.10 Las
opciones de contraseña relacionadas también socavan los objetivos de seguridad de las
actualizaciones forzadas de contraseña, como un atacante con el conocimiento de la secuencia
previa de contraseñas de un usuario a menudo puede adivinar la siguiente contraseña.

Desconectado vs amenazas en línea. La literatura de seguridad distingue entre los atacantes en

línea que deben interactuar con una parte legítima para autenticar y los atacantes fuera de línea
que están limitados solo en términos de sus recursos computacionales.
Superficialmente, los atacantes fuera de línea son mucho más poderosos, ya que normalmente
pueden hacer un número ilimitado de conjeturas y compararlas con un hash conocido de la
contraseña. Sin embargo, el atacante en línea tiene a su disposición muchas otras vías de ataque:
robar la contraseña con el malware del lado del cliente, falsificar la contraseña con un sitio
falsificado, espiar la contraseña a medida que se transmite, robar la contraseña del servidor de
autenticación, robar ingrese la contraseña de un segundo servidor de autenticación donde el
usuario la ha reutilizado, y subvirtiendo el proceso de restablecimiento de contraseña
automático.

Una observación crítica es que las contraseñas seguras no ayudan contra ninguno de estos otros
ataques. Incluso las contraseñas más seguras son todavía secretos estáticos que pueden
reproducirse y son igualmente vulnerables a la suplantación de identidad, el robo y el espionaje.
La exigencia de contraseñas más seguras no hace nada para aumentar la seguridad contra tales
ataques.

Costoso de montar que los ataques fuera de línea, en base a cada conjetura. Mientras que fuera
de línea, un atacante podría verificar mil millones de conjeturas en un solo host, en línea un
atacante podría necesitar miles de hosts. Primero, si asumimos que las direcciones IP que envían
millones de intentos fallidos serán bloqueadas, la carga debe ser distribuida. Además, la carga
podría exceder el tráfico legítimo; en un servicio con un millón de usuarios donde el usuario
promedio ingresa una vez por día, un total de mil millones de conjeturas (mil conjeturas por
cuenta) son tantas solicitudes de inicio de sesión como la población legítima genera en tres años.
Si los usuarios legítimos fallan aproximadamente el 5% del tiempo (debido a, digamos, errores
tipográficos u olvidos), el atacante generará tantos eventos fallidos como la población legítima
genere en 60 años.
Elegir una contraseña para resistir un ataque sin conexión es mucho más difícil que elegir una
para soportar un ataque en línea. Sin embargo, el esfuerzo adicional se amortiza solo en
circunstancias muy limitadas en las que pueden ocurrir ataques fuera de línea.13 No tiene
mucho sentido concentrarse en este riesgo cuando los ataques fuera de línea son eclipsados por
otros vectores (como el malware).

Las contraseñas mundiales "sobre restringidas" de hoy ofrecen atractivas ventajas económicas
sobre las alternativas, con los costos iniciales y por costo más bajos por usuario. Debido en gran
parte a su estatus como la solución predominante, también tienen claras ventajas de "capacidad
de despliegue" (como compatibilidad con versiones anteriores, interoperabilidad y sin costos de
migración). Pero no son estos factores los únicos responsables de su longevidad; el "problema
de reemplazo de contraseña" está subespecificado y demasiado restringido.6,20

Es subespecificado en que hay

no hay un conjunto de requisitos concretos universalmente acordados que cubran diversos
entornos, plataformas tecnológicas, culturas y aplicaciones; por ejemplo, muchas propuestas de
autenticación se vuelven completamente imposibles de trabajar en dispositivos móviles con
pantallas táctiles, muchos idiomas asiáticos ahora se escriben con retroalimentación gráfica
constante que se debe deshabilitar durante la entrada de la contraseña, y muchos sitios web
grandes deben admitir cuentas de foros de bajo valor y Importantes cuentas de correo
electrónico o correo electrónico web a través de un solo sistema. Al mismo tiempo, está
excesivamente restringido porque no contra una amenaza específica, lo que motiva a los
profesionales de la seguridad a ofrecerles un intento de cubrir sus bases y evitar la culpa de
posibles infracciones de seguridad, independientemente de la inoportuna imposición a los
usuarios. Se prevé que este enfoque conduzca al fracaso por el modelo de "presupuesto de
cumplimiento" 3 en el que la disposición de cada usuario a cumplir con los molestos requisitos
de seguridad es un recurso finito y agotable que debe gestionarse tan cuidadosamente como
cualquier otro presupuesto. De hecho, los sitios web (como las tiendas en línea), cuyos usuarios
pueden votar libremente con sus billeteras, son mucho más cuidadosos al no exceder el
presupuesto de cumplimiento de sus clientes que los sitios (como las universidades) cuyos
usuarios están "cautivos". 15

Consejos de seguridad útiles requieren una

Perspectiva de la gestión de riesgos madura y cuantificación aproximada de los riesgos y costos
asociados con cada contramedida. También requiere que se reconozca que, con las contraseñas
implementadas hoy, los usuarios tienen poco control sobre las medidas más importantes. En
particular, ejecutar una computadora personal libre de malware puede ser el paso más
importante, aunque es un desafío y, a menudo, se ignora a favor del asesoramiento de
contraseña, que es más sencillo de conceptualizar pero mucho menos importante. Del mismo
modo, la buena limitación de la velocidad y la detección de compromiso en el lado del servidor
son fundamentales, como se mencionó anteriormente, pero los usuarios no tienen otra agencia
que no sea para patrocinar sitios mejor implementado

Elegir contraseñas extremadamente fuertes, como se suele recomendar, tiene un beneficio

mucho más limitado; la evidencia de que reduce el daño en la práctica es difícil de alcanzar.
Como se señaló anteriormente, el descifrado de contraseñas rara vez es un paso crítico en los
ataques. Por lo tanto, hacer que las contraseñas sean lo suficientemente fuertes para resistir los
ataques de cracking dedicados parece un esfuerzo mal recompensado para todas las cuentas
web, excepto las más críticas. Para las cuentas importantes, los consejos de selección de
contraseñas deben alentar las contraseñas que no se adivinan fácilmente y que son suficientes
para resistir una cantidad razonable de adivinanzas en línea, tal vez un millón de conjeturas.
Aproximadamente la mitad de los usuarios ya están por encima de este límite, 5 pero desalentar
las contraseñas simples a través de consejos, medidores de resistencia y listas negras sigue
siendo aconsejable para ayudar a los demás.

señales de sensores que miden la interacción del usuario.11 Si bien ninguna de estas señales es
imperdonable, cada una es útil; por ejemplo, la geolocalización puede ser falsificada por un
determinado anuncio, 28 y las técnicas de detección de huellas dactilares del navegador parecen
ser una carrera de armamentos sin fin.29 No obstante, ambas pueden ser valiosas en soluciones
multidimensionales, ya que la dificultad de falsificar todas las señales puede ser significativa en
la práctica; por ejemplo, al combinar 120 señales de este tipo, Google reportó una reducción del
99.7% en 2013 en la tasa de cuentas comprometidas por los emisores de spam.18

A diferencia de la autenticación de contraseña tradicional, el resultado no es bi- nario sino una

estimación real de la probabilidad de que el intento sea genuino. En general, estos resultados
serán discretos, ya que los usuarios deben tener acceso a algún recurso o no, y cualquier
clasificador inevitablemente cometerá errores falsos de aceptación y rechazo. Los sitios
continuarán desarrollando sus técnicas de aprendizaje automático para reducir estos errores y
podrán implementar nueva tecnología (como la autenticación de dos factores y los certificados
de origen 17) para aumentar el número (y la calidad) de las señales disponibles.

La autenticación web no es, de ninguna manera, un dominio fácil de abordar para el aprendizaje
automático. Es difícil hacer bien la compensación entre los falsos aceptados y los falsos rechazos.
Para los sitios financieros, las falsas aceptaciones se traducen en fraude, pero generalmente
pueden recuperarse revirtiendo cualquier pago fraudulento. Sin embargo, para los sitios donde
la aceptación falsa da lugar a la divulgación de datos confidenciales del usuario, las violaciones
de la confidencialidad nunca se pueden deshacer, lo que puede resultar muy costoso. Mientras
tanto, los rechazos falsos molestan a los clientes, que pueden cambiar a competidores.

Obtener una gran muestra de la verdad fundamental para entrenar al clasificador es otro
desafío, ya que es difícil encontrar ejemplos de ataques que los administradores aún no
conocen. Los atacantes con motivaciones financieras son, probablemente, los más fáciles de
tratar, ya que sus ataques normalmente deben ser escalables, lo que lleva a un gran volumen
de ataques y, por lo tanto, a datos de entrenamiento. Los atacantes no motivados
financieramente (como los ex compañeros) pueden ser más difíciles de detectar
algorítmicamente, pero los usuarios están mucho mejor posicionados para enfrentarlos en la
vida real. Los ataques dirigidos, incluido el final a través del aprendizaje automático, la mayoría
de los cambios en la experiencia del usuario deben ser positivos. Los casos comunes serán cada
vez más simplificados; se les pedirá a los usuarios que escriban las contraseñas (o que realicen
otras acciones explícitas) tan raramente como sea posible. Sin embargo, los usuarios también
enfrentan desventajas potenciales, ya que los sistemas se vuelven cada vez más opacos y difíciles
de entender.

Primero, los usuarios pueden ver más solicitudes de segundos factores (como un código de una
sola vez a través de SMS) cuando la confianza del clasificador es baja. Los usuarios también
pueden enfrentar más casos (como cuando viajan o cambian a una máquina nueva) en los que
no pueden acceder a su propia cuenta a pesar de recordar correctamente su contraseña, similar
a los rechazos inesperados de tarjetas de crédito en el extranjero. El aumento de los rechazos
puede aumentar la carga sobre la autenticación "alternativa", a la que todavía nos falta una
solución satisfactoria.

A medida que los sistemas de autenticación crecen en complejidad, sus decisiones

automatizadas pueden causar a los usuarios una mayor confusión y angustia. Es menos probable
que los usuarios compren en cualquier sistema que les presente inconvenientes que no
comprenden. Capacitar a los usuarios para que respondan con sus credenciales a los desafíos de
seguridad asíncrona en canales alternativos también puede allanar el camino para nuevos
ataques de phishing. Incluso con un diseño cuidadoso de la interfaz de usuario, los usuarios
pueden terminar confundidos en cuanto a lo que debería ser la auténtica ceremonia de
autenticación22.

Otro reto es que mejor.

los clasificadores pueden romper algunas prácticas de control de acceso además de las
contraseñas a las que los usuarios se han acostumbrado; por ejemplo, los usuarios que
comparten contraseñas con sus cónyuges o sus asistentes pueden tener dificultades si los
clasificadores pueden (correctamente) determinar que otro humano está usando su contraseña,
aunque esto es lo que pretendía el usuario.
Finalmente, escribir contraseñas con menos frecuencia podría, de hecho, disminuir su facilidad
de uso, ya que los usuarios tienen más probabilidades de olvidarlas si pasan largos períodos
entre la necesidad de escribirlas

Ventajas de la escala. La autenticación puede representar un ejemplo clásico de las

características del ganador que se lleva todo que aparece en otras partes de la Web, ya que
ofrece beneficios para escalar de dos maneras diferentes: Primero, es más probable que se
acepten grandes servicios confiando en la evidencia de daños reducidos en la práctica y en
algunos casos han sido directamente contradichas por la observación empírica. Sin embargo, los
grandes servicios web parecen lidiar con contraseñas inseguras en gran parte debido a que las
deficiencias pueden cubrirse con inteligencia tecnológica en el back-end. Esta es una evolución
crucial, si no anunciada, impulsada en gran medida por la industria, que tiene mucha experiencia
en ingeniería basada en datos. Los investigadores que adaptan sus modelos y suposiciones para
reflejar esta tendencia estarán en una posición más fuerte para entregar resultados relevantes.
Esta evolución todavía está en sus primeras etapas, y hay muchas preguntas importantes e
interesantes sobre los resultados a largo plazo que han recibido poco o ningún estudio hasta
este momento. También hay margen para un replanteamiento aún más radical de la
autenticación de usuarios en la Web; Los enfoques de pizarra limpia pueden parecer demasiado
arriesgados para grandes compañías, pero pueden ser explorados por investigadores
académicos más ágiles. Abordar estos nuevos desafíos es importante para asegurar que la
investigación publicada esté por delante de la práctica de la industria, y no al revés.

Expresiones de gratitud
Joseph Bonneau está financiado por una beca de usabilidad segura de Simply Secur y el Open
Technology Fund. Paul van Oorschot es financiado por una Cátedra en Autentificación y
Seguridad Informática del Consejo de Investigación de Ingeniería y Ciencias Naturales de Canadá
y una Subvención Discovery. Frank Stajano cuenta con el apoyo parcial del Consejo de
Investigación Europeo 307224.

(mitad)Ha reforzado, no reemplazado, las contraseñas con múltiples mecanismos de

autenticación complementarios paralelos. Estos se combinan, a menudo utilizando el
aprendizaje automático, para minimizar el costo y la molestia, al tiempo que proporcionan
suficiente seguridad para que el comercio electrónico y la interacción social en línea prosperen.
Esperamos que la autenticación se vuelva gradualmente más segura y menos intrusiva, incluso
si tal vez técnicamente no es elegante bajo el capó.

Esta tendencia no es sin inconvenientes. Favorece fuertemente al más grande para la

autenticación del usuario.
A medida que proliferaban los servicios basados en la web, surgieron problemas de uso que no
existían para las contraseñas del sistema. El restablecimiento de las contraseñas olvidadas, que
anteriormente era una tarea manual para el personal de soporte de TI, se automatizó a través
del correo electrónico, creando un punto de falla central común para la mayoría de los usuarios.
El aumento en el número de cuentas mantenidas por usuarios individuales evitó la suposición
de contraseñas dedicadas por cuenta, y la reutilización de la contraseña se convirtió en algo
común. La suplantación de identidad (phishing) se convirtió en una preocupación importante,
pero las propuestas de protección contra suplantación de identidad (phishing) que requerían
cambios de interfaz de usuario o protocolo no lograron su adopción. En cambio, la contramedida
principal consiste en listas negras de sitios de phishing conocidos y clasificadores de aprendizaje
automático para reconocer los sitios de phishing nuevos a medida que surgen.16

Intenta hacer un negocio dedicado

La falta de autenticación en el espacio del consumidor ha fallado constantemente. Si bien

durante mucho tiempo ha habido interés en implementar tokens de hardware como segundo
factor, los tokens independientes (como RSA SecurID) han tenido un despliegue limitado fuera
de los entornos empresariales, probablemente debido al costo de los tokens en relación con el
valor de la libre Cuentas en línea. Microsoft Passport y OpenID, entre muchos intentos de ofrecer
un inicio de sesión único para la Web, no han logrado una adopción masiva.

Sin embargo, la disponibilidad generalizada de teléfonos inteligentes puede estar cambiando la

ecuación, como en los primeros

2010s una serie de servicios en línea, incluidos Facebook, Google y Twitter implementaron
aplicaciones gratuitas para teléfonos inteligentes para que actúen como un segundo factor
basado en el estándar emergente de contraseña de un solo uso (TOTP). códigos a través del
servicio de mensajes cortos (SMS) como un mecanismo de autenticación de copia de seguridad.
Algunos servicios han ofrecido tokens dedicados como segundo factor, generalmente en
entornos con mayor riesgo de fraude (como eBay y World of Warcraft).
Modelos aleatorios para el comportamiento del usuario. Además de ser considerado como el
eslabón débil en los sistemas de contraseña, los usuarios también suelen ser el componente más
difícil de modelar. Idealmente, elegirían contraseñas compuestas de caracteres aleatorios. Pero
incluso los investigadores que reconocen que este es un modelo idealizado generalmente

Contraseñas basadas en texto ingresadas en formularios HTML A cambio de las cookies HTTP
se han convertido en las dominantes, aunque nunca formalmente especificado, protocolo
para Autentificación de usuarios en la web.

Además de ser considerado como el enlace débil en los sistemas de contraseña, los usuarios
son también típicamente el componente mas difícil modelar.

Puede esperarse que una solución única cumpla con todos los requisitos, desde la protección
financiera hasta la protección de la privacidad. La lista de requisitos de usabilidad,
implementación y seguridad es simplemente demasiado larga (y rara vez se documenta
explícitamente).
Una revisión en profundidad de las 35 alternativas de contraseña propuestas utilizando un
marco de 25 criterios de comparación no encontró ninguna propuesta que supere las
contraseñas en todos los frentes. 6 Las contraseñas parecen ser un Pare a equilibrio, lo que
requiere que se otorgue alguna propiedad deseable hasta obtenga cualquier beneficio nuevo Y,
lo que hace que las contraseñas sean muy difíciles de reemplazar.

Revisar cómo se comparan las categorías de estas alternativas de contraseña con las contraseñas
regulares proporciona información. Los administradores de contraseñas (software que puede
recordar y escribir automáticamente las contraseñas para los usuarios) pueden mejorar la
seguridad y la facilidad de uso en el caso común, pero son difíciles de configurar para los usuarios
en todos los agentes de usuarios. Este problema también afecta a algunos esquemas de
contraseñas gráficas, 4 mientras que otros ofrecen ganancias de seguridad insuficientes para
superar la inercia resistente al cambio. Los esquemas biométricos, además de sus importantes
obstáculos de despliegue, parecen poco adecuados para el entorno no supervisado de la
autenticación web; los estafadores solo pueden reproducir representaciones digitales de huellas
dactilares o patrones de iris. Los esquemas que usan tokens de hardware o teléfonos móviles
para generar códigos de acceso únicos pueden ser prometedores, con importantes ventajas de
seguridad, pero la adopción omnipresente sigue siendo difícil de alcanzar debido a una
combinación de problemas de uso y costo.

Los protocolos de autenticación federada o de "inicio de sesión único", en los cuales los usuarios
se autentican por delegación a proveedores de identidad centrales, podrían reducir
significativamente varios problemas con las contraseñas sin eliminarlas por completo. Sin
embargo, además de presentar serios problemas de privacidad, no han podido ofrecer un
modelo de negocios lo suficientemente atractivo para confiar en los sitios. La implementación
más exitosa hasta la fecha, Face-book Connect (una versión de OAuth), incentiva a las partes
confiadas con los datos del usuario, asignando un papel central para Face-book como único
proveedor de identidad, lo que hace poco por la privacidad. Sin un ganador claro que cumpla
con todos los criterios, la inercia se convierte en un obstáculo sustancial y la plataforma está en
contra de tecnologías que esperan reemplazar a los pases Consejos para evitar la reutilización
de contraseñas también es común. Si bien es una buena defensa contra el compromiso de
contraseñas entre sitios, para la mayoría de los usuarios es incompatible con recordar las
contraseñas. Un mejor consejo es probablemente evitar la reutilización de contraseñas para
cuentas importantes y no preocuparse por el gran número de cuentas de poco valor para un
atacante (o su propietario).

Por otra parte, consideramos que los consejos contra la escritura de contraseñas están fuera de
moda para la Web. Las historias que involucran “Notas de post-it en el monitor” generalmente
se refieren a contraseñas corporativas donde los usuarios no sienten ningún interés personal en
su seguridad. La mayoría de los usuarios entienden que las contraseñas escritas deben guardarse
en una billetera u otro lugar seguro que generalmente no está disponible para otros, incluso
para conocidos. Con esta advertencia, las contraseñas escritas son una compensación valiosa si
alientan a los usuarios a evitar contraseñas muy débiles. Los administradores de contraseñas
pueden ser una mejor compensación, mejorando la facilidad de uso (sin recordar, sin escribir) y
permitiendo una contraseña segura diferente para cada cuenta. Sin embargo, introducen un
único punto de falla, aunque quizás no sea más vulnerable que las cuentas web ya debido a la
prevalencia del restablecimiento de contraseñas basado en correo electrónico.

Futuro multidimensional

Aparecemos atrapados entre la difícil dificultad de reemplazar las contraseñas y su inseguridad

y carga cada vez mayores para los usuarios. Muchos investigadores han predicho que la represa
estallará pronto y la industria simplemente tendrá que pagar los costos necesarios para
reemplazar las contraseñas. Sin embargo, estas predicciones se han realizado durante más de
una década.

La clave para comprender cómo se manejan los grandes proveedores de servicios, utilizando lo
que parece ser una tecnología "rota", es que los sitios web no necesitan perfección. El problema
de las cuentas comprometidas es solo una de las muchas formas de abuso, junto con el spam,
el phishing, el fraude de clics, los bots, las cuentas falsas, las estafas y el fraude de pagos.
Ninguno de ellos ha sido completamente derrotado tecnológicamente, pero todos se manejan
con la suficiente eficacia para mantener las cosas funcionando.

En casi todos los casos, las técnicas que “resuelven” técnicamente el problema se han perdido a
aquellas que las manejan de manera estadística; por ejemplo, a pesar de muchos

Solo si el atacante ha obtenido un archivo de contraseñas que ha sido correctamente picado

y salado, la eficacia de descifrado de contraseñas y la seguridad de las contraseñas suponen
una verdadera diferencia.

Los ataques dirigidos, incluidas las "amenazas persistentes avanzadas", técnicamente

sofisticadas y dirigidas a una sola cuenta de usuario, son los desafíos más difíciles, ya que
pueden adaptar las técnicas a las víctimas y dejar relativamente poca señal disponible para
los clasificadores.
(final) Proveedores con amplio conocimiento de los hábitos de sus usuarios. Hace que la
autenticación sea más invasiva para la privacidad y cada vez más difícil de comprender tanto
para los usuarios como para los investigadores. Alentamos a los investigadores a que reconozcan
esta tendencia y se centren en abordar los desafíos relacionados con la seguridad, la privacidad
y la usabilidad.

Lecciones del pasado

Desde el principio, las contraseñas han sido una curita de seguridad. Durante el año se estimó
la brecha entre el comportamiento modelado y la realidad. Las políticas de seguridad y los
modelos de investigación han sido lentos para adaptarse a la magnitud de las imprecisiones
reveladas por las nuevas fuentes de datos (como conjuntos de datos de contraseñas filtradas y
estudios de medición a gran escala) .5
Una de las fuentes tempranas más conocidas sobre políticas de contraseñas es el Departamento
de Defensa de los EE.UU.
Green Book, 38, que especificó políticas detalladas para mitigar el riesgo de adivinar las
contraseñas, incluidos el límite de velocidad, las contraseñas de hash en reposo y la vida útil de
las contraseñas. El Libro Verde evitó por completo la complejidad del comportamiento del
usuario, presentando como uno de los tres principios principales: "Dado que muchas
contraseñas creadas por el usuario son particularmente fáciles de adivinar, todas las contraseñas
deben ser generadas por una máquina".

El mismo año, el NIST publicó sus pautas de uso de contraseñas en la serie de estándares de
procesamiento de información federales (FIPS )39 que se derivaron en gran medida del Libro
Verde. Además de las contraseñas elegidas por la máquina recomendadas, las pautas FIPS
permitieron las contraseñas elegidas por el usuario con la advertencia de que a los usuarios “se
les pedirá que usen una contraseña seleccionada de todas las contraseñas aceptables al azar, si
es posible, o que seleccionen una que sea no relacionados con su identidad personal, historia o
entorno ”. Hoy en día, casi todas las aplicaciones no militares permiten contraseñas elegidas por
el usuario debido a la dificultad percibida de recordar las contraseñas elegidas por la máquina.
Sin embargo, las pautas de FIPS mantuvieron la mayoría de las otras recomendaciones del Libro
Verde sin cambios, incluidos los cálculos de seguridad de la contraseña en función de los
caracteres permitidos y los requisitos de longitud, los límites de vida útil de la contraseña y las
actualizaciones forzadas. Esto alentó el supuesto optimista poco realista de que los usuarios
eligen contraseñas de manera similar a los generadores aleatorios de contraseñas que han
persistido hasta el día de hoy.

Estimación de la fortaleza de la contraseña a través de la "inserción". La resistencia de las

contraseñas elegidas por el usuario a menudo se estima modelando las contraseñas como
elecciones aleatorias de una distribución uniforme. Esto permite cálculos sencillos de los
tiempos de adivinación esperados en la tradición del Libro Verde de 1985. Para intentar captar
el hecho de que muchos usuarios eligen entre un número relativamente pequeño en la
configuración de una herramienta en particular, es simplemente ejecutar una biblioteca de
código abierto de descifrado de contraseñas popular contra un conjunto de contraseñas y
evaluar el número promedio de conjeturas necesarias para encontrar una proporción dada de
ellos. 23,42
Este enfoque se puede aplicar incluso a una sola contraseña para evaluar su fuerza relativa,
aunque esto claramente sobreestima la seguridad en relación con los adversarios reales que
usan una biblioteca de cracking más favorable.
Mejora de la fuerza de la contraseña. Medidas simples como la entropía de Shannon y NIST
hacen que los aumentos en la fuerza de la contraseña parezcan tentadores. Las políticas de
composición que aumentan la longitud mínima o expanden las clases de caracteres que una
contraseña parece causar aumentos confiables en estas medidas si las contraseñas son
aleatorias; por ejemplo, las pautas del NIST sugieren que se requiera al menos un carácter en
mayúscula y no alfabético. Si bien los usuarios reconocen que pueden insertarlos en lugares
predecibles, las pautas aún estiman un aumento en la dificultad de adivinación de una
contraseña en seis bits (o un factor de 64) en comparación con la política de permitir cualquier
contraseña. Sin embargo, los experimentos han demostrado que esto es probablemente una
sobreestimación por un orden de magnitud.

Tales políticas de contraseña persisten

A pesar de imponer un alto costo de usabilidad, se discute más tarde, aunque de manera
reveladora, su uso es mucho menos común en sitios con mayor competencia (como
proveedores de correo web15) que en sitios con poca competencia (como universidades
y servicios gubernamentales). En cambio, la investigación sugiere que la política más
efectiva es simplemente usar una gran lista negra34 para limitar la frecuencia de las
contraseñas más comunes, limitar los ataques de adivinación en línea a un nivel
predecible y admitir que muchos usuarios elegirán contraseñas vulnerables a la
conexión sin conexión adivinación.
Un objetivo relacionado ha sido empujar a los usuarios hacia mejores contraseñas a
través de retroalimentación (como medidores gráficos que indican la fuerza estimada
de su contraseña, según la elijan). En un contexto experimental, los medidores de fuerza
muy agresivos pueden hacer que las contraseñas elegidas por el usuario sean mucho
más difíciles.37 Sin embargo, en los estudios que usan medidores típicos de los que se
encuentran en la práctica, en los que no se les pidió que consideraran su contraseña, el
impacto de los medidores fue despreciable; Fuera de línea adivinando (craqueo). Se ha
prestado mucha atención al diseño de estrategias para elegir contraseñas lo
suficientemente complejas como para resistir el descifrado fuera de línea. Sin embargo,
esta contramedida puede detener el daño en el mundo real como máximo en un
conjunto limitado de circunstancias.13 Para un atacante sin acceso al archivo de
contraseñas, cualquier adivinación debe hacerse en línea, lo que puede ser limitado. Si
las contraseñas en un archivo filtrado no están rotas, se exponen en texto sin formato,
independientemente de la complejidad; si hash pero no tiene sal, entonces las “tablas
arco iris” 31 grandes permiten la búsqueda de fuerza bruta hasta cierta extensión. Solo
si el atacante ha obtenido un archivo de contraseña que ha sido correctamente picado
y salado, haga clic en el método de descifrado de contraseñas. La fuerza hace una
diferencia real. Y, sin embargo, si bien los profesionales de la seguridad han considerado
la mejor práctica de la hash y la salazón, están lejos de ser universales. Las estimaciones
empíricas sugieren que más del 40% de los sitios almacenan contraseñas sin borrar; 7
recientes filtraciones de archivos de contraseñas a gran escala revelaron que muchos
eran de texto simple (como RockYou y Tianya), con hash pero sin sal (como LinkedIn),
con hash incorrecto (como Gawker) , o encriptados reversiblemente (como Adobe).

Finalmente, los atacantes fuera de línea pueden ser interrumpidos si se detecta su violación y
los administradores pueden obligar a los usuarios afectados a restablecer sus contraseñas. Los
reinicios de contraseña no suelen establecerse en sitios web violados debido al temor de perder
usuarios; son incluso menos comunes para los usuarios cuya contraseña puede haber sido
filtrada de un sitio web de terceros comprometidos donde puede haber sido reutilizada.
Adivinanzas en línea. Los atacantes en línea pueden verificar si una conjetura de contraseña
dada es correcta solo enviándola al servidor de autenticación. El número de conjeturas que se
pueden enviar es limitado. Un modelo crudo de "tres ataques" es una forma obvia de limitar los
ataques, pero relativamente pocos sitios implementan una política tan determinista, 7
probablemente para evitar la denegación de servicio.

No obstante, los ataques de adivinación en línea son, de alguna manera, mucho más
a Las tablas de disponibilidad libre invierten rápidamente el hash MD5 de cualquier contraseña
alfanumérica de hasta 10 caracteres. Usando las contraseñas de RockYou (un sitio que tuvo una
pérdida importante de contraseñas en 2009), podemos estimar que dicha tabla cubriría el 99.7%
de los usuarios de cuentas en línea de bajo valor.

palabras en su totalidad. Una mejor opción es priorizar los requisitos de la competencia en

función de las prioridades de la organización y los escenarios de uso y apuntar a una adopción
gradual. Debido a su soporte universal como mecanismo de autenticación de usuario básico, las
contraseñas se implementan sensiblemente primero, ofreciendo la forma más económica de
poner las cosas en funcionamiento cuando una idea aún no está probada y la seguridad aún no
es crítica, sin aprendizaje. Curva ing o obstáculos de interoperabilidad. Los bajos costos de
adopción también se aplican a los usuarios de sitios nuevos, que necesitan barreras bajas cuando
exploran sitios nuevos a los que no están seguros de que volverán. Los sitios web financieros
son la rara excepción, con capital fuera de línea y usuarios cuyas cuentas son claramente
valiosas.
La lista de desafíos a posibles alternativas continúa. Mejorar la seguridad a pesar de cualquier
disminución en la usabilidad puede significar la pérdida de nuevos usuarios potenciales (y en
ocasiones de usuarios existentes) frente a los competidores. Algunas alternativas requieren
modificaciones del software del servidor o cliente por parte de varias partes independientes y,
a menudo, son impresionantes; algunos otros esperan que una gran cantidad de usuarios
cambien sus hábitos existentes o estén capacitados para usar nuevos mecanismos. Sin embargo,
algunas son solo soluciones parciales o solo abordan un subconjunto de amenazas de seguridad;
Algunos son incluso menos fáciles de usar, aunque de formas nuevas y diferentes. Además,
como se mencionó anteriormente, algunos son más costosos y presentan otros desafíos de
implementación (como la interoperabilidad, la compatibilidad con la infraestructura existente y
la migración dolorosa).

Asesoramiento a los usuarios. Los usuarios se enfrentan a una gran cantidad de consejos
sobre contraseñas: use una diferente para cada cuenta; cambiarlos a menudo; use una
mezcla de letras, signos de puntuación, símbolos y dígitos; Haz que tengan al menos
ocho caracteres de largo; Evite la información personal (como nombres y días de
nacimiento); y no los escribas. Estas sugerencias plantean colectivamente una carga
poco realista y algunas veces son mutuamente incompatibles; no se puede esperar que
una persona memorice una contraseña compleja diferente para, por ejemplo,
50 cuentas, y mucho menos cambiarlas todas de forma continua. La sabiduría popular
ha resumido los consejos de seguridad de los expertos en seguridad como: "Elija algo
que no pueda recordar y no lo escriba".
Cada consejo puede ser una propuesta útil para acabar con el correo no deseado,
incluidos los protocolos criptográficos para evitar falsificaciones y microcharges por
cada mensaje de correo electrónico enviado; la mayoría de los proveedores de correo
electrónico han optado por enfoques que clasifican el correo según los patrones
conocidos de comportamiento del atacante. Estas defensas no son gratuitas ni fáciles
de implementar, ya que los grandes operadores web a menudo dedican recursos
significativos para mantener el ritmo del abuso a medida que evoluciona. Sin embargo,
en última instancia, este costo suele ser mucho menor que cualquier enfoque que
requiera que los usuarios cambien de comportamiento.
En el caso de la autenticación, los bancos proporcionan un ejemplo de cómo vivir con
tecnología imperfecta. Aunque los números de las tarjetas de crédito son secretos
esencialmente estáticos, que los usuarios no intentan ocultar a los comerciantes, los
clasificadores de back-end mantienen el fraude en niveles aceptables. Las tecnologías
como "chip y PIN" no han sido una solución mágica cuando se implementan.2 Las
tarjetas aún son robadas, los PIN pueden ser adivinados u observados, las transacciones
con firmas aún existen como respaldo, y los pagos en línea sin un PIN, o "la tarjeta no
está presente" Las transacciones, siguen siendo generalizadas.

Sin embargo, los bancos sobreviven con un modelo de autenticación no binario en el que toda
la información disponible se considera para cada transacción con el mejor esfuerzo. La
autenticación web está convergiendo en un modelo similar, con contraseñas que persisten
como una señal imperfecta complementada por muchas otras.
La autenticación web como clasificación. Detrás de escena, muchos sitios web grandes ya han
pasado a un modelo basado en riesgo para la autenticación de usuarios. Este enfoque surgió a
principios de la década de 2000 en los sitios financieros en línea.41 Si bien una contraseña
incorrecta significa que se debe denegar el acceso, una contraseña correcta es solo una señal o
característica que un clasificador puede usar para determinar si la autenticación es correcta o
no. intento implica el propietario de la cuenta genuina.

El clasificador puede aprovechar muchas señales además de la contraseña, incluida la dirección

IP del usuario; geología; información del navegador, incluidas las cookies; el tiempo de inicio de
sesión; cómo se escribe la contraseña; y qué recursos se solicitan. A diferencia de las
contraseñas, estas señales implícitas están disponibles sin esfuerzo adicional por parte del
usuario.
Los dispositivos móviles introducen muchas nuevas "amenazas persistentes avanzadas", que son
técnicamente sofisticadas y dirigidas a una sola cuenta de usuario, son el desafío más difícil, ya
que los atacantes pueden adaptar las técnicas a las víctimas y dejar relativamente poca señal
disponible para los clasificadores.

Nuevos modos de operación. La autenticación por clasificación permite fundamentalmente

nuevos métodos de operación. La autenticación puede ser un proceso más flexible, con
información adicional requerida según sea necesario si la confianza del clasificador es baja o si
el usuario intenta una operación particularmente sensible, un proceso llamado "autenticación
progresiva"; 33 por ejemplo, un sitio puede pedirle a los usuarios que confirmen su identidad
por SMS o llamada telefónica si detecta actividad concurrente sospechosa en su cuenta desde
ubicaciones geográficamente distantes. La "autenticación multinivel" es posible, ya que los
usuarios tienen acceso limitado cuando la confianza del clasificador es relativamente baja. En el
Reino Unido, algunos bancos ofrecen a los usuarios una vista de solo lectura de su cuenta con
solo una contraseña, pero requieren un token de seguridad para transferir el dinero.
Los sitios también pueden solicitar menos información, lo que incluye no requerir que se ingrese
una contraseña, cuando tienen una confianza razonable, de las señales secundarias, el usuario
correcto está presente. Ya existe una forma de esto: donde las cookies de sesión persistentes
una vez permitieron el inicio de sesión sin contraseña durante un período predeterminado, la
decisión de cuándo volver a verificar la contraseña ahora se realiza de forma dinámica por un
clasificador de riesgos. Una versión más sólida es la autenticación de dos factores, que garantiza
la autenticación correcta cuando está presente el segundo factor, pero que permite una
seguridad alternativa si la contraseña sigue siendo correcta y se presentan suficientes señales
adicionales.17

El límite de esta evolución es la "autenticación continua". En lugar de simplemente

verificar las contraseñas en la puerta de entrada, el clasificador puede monitorear las
acciones de los usuarios después de dejarlos entrar y refinar su decisión basándose en
estas señales adicionales. En última instancia, la autenticación continua puede significar
que el proceso de autenticación crece directamente entrelazado con otros sistemas de
detección de abuso.
Cambios en la experiencia del usuario. Como los sitios pretenden tomar decisiones de
autenticación correctas "mágicamente" en las partes posteriores como un servicio de
identificación. El hecho de ser aceptado por partes más confiables a su vez alienta a los
usuarios a registrar cuentas, lo que mejora aún más el atractivo de estos proveedores
de identidad para las partes confiables. El segundo, “mercado bilateral” o bucle de
retroalimentación positiva, es para los datos del usuario. Los servicios grandes con más
datos de usuario pueden proporcionar una autenticación más precisa. Esto atrae a los
usuarios a interactuar con los servicios con mayor frecuencia, proporcionando aún más
datos para la autenticación. El desarrollo y mantenimiento de un enfoque complejo para
el aprendizaje basado en la máquina requiere un costo técnico fijo relativamente alto y
costos marginales bajos por usuario, lo que favorece aún más a los proveedores de
identidad más grandes.

Una consecuencia de esta consolidación es que, al carecer de acceso a los volúmenes de

datos del mundo real recopilados por grandes proveedores de servicios, los
investigadores independientes pueden tener limitaciones en su capacidad para
contribuir a varios temas de investigación importantes para los cuales los límites de los
conjuntos de datos artificiales y la extrapolación mental hace que la investigación
fundamentada empíricamente sea esencial. Otras áreas de la investigación web (como
las redes, que requieren la captura masiva de paquetes o la búsqueda en motores de
búsqueda que requieren un gran número de consultas de los usuarios) también se han
vuelto difíciles para los investigadores con acceso solo a fuentes de datos públicas.
También existen implicaciones preocupantes en cuanto a la privacidad si las partes
confiables requieren que los usuarios se registren con un servicio grande que, a su vez,
requiere una cantidad significativa de información personal para realizar bien la
autenticación. Esta información puede ser intrínsecamente sensible (como el tiempo y
la ubicación de la actividad de inicio de sesión) o difícil de cambiar si se filtra (como la
biométrica del comportamiento, como los patrones de mecanografía). Muchos usuarios
ya confían información altamente sensible a grandes servicios en línea, pero la
autenticación puede ser un factor motivador para recopilar más datos, almacenarlos
durante más tiempo y compartirlos con más partes.

Conclusión
Las contraseñas ofrecen muchos ejemplos de divergencias entre la teoría y la práctica;
las estimaciones de solidez, los modelos de comportamiento del usuario y las políticas
de composición de contraseñas que funcionan bien en la teoría generalmente no están
respaldadas por